Microsoft lanzó hoy las actualizaciones de seguridad del martes de cada mes, para diciembre de 2019. Las actualizaciones incluyen parches para 36 vulnerabilidades, incluido un día cero en el sistema operativo Windows que ha sido explotado en la naturaleza.
«Existe una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no puede manejar correctamente lo objetos en la memoria», dijo Microsoft.
«Un atacantes que explotó con éxito esta vulnerabilidad podría ejecutar código arbitrario en modo kernel. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con plenos derechos de usuario», agregó.
Dustin Childs, miembro de Zero Day Initiative (ZDI), de Trend Micro, cree que esta vulnerabilidad 0-Day de Windows está conectado a otro Zero Day que Google parchó en Chrome a fines de octubre (CVE-2019-13720).
«Kaspersky informó una UAF en Chrome que estaba bajo explotación activa. Cuando ese error se hizo público, se especuló que se estaba emparejando con un error del kernel de Windows para escapar del entorno limitado», dijo Childs.
Según Kaspersky, el Zero Day de Chrome estaba siendo utilizado por un grupo de hackers llamado WizardOpium, para atraer a los usuarios a sitios web maliciosos, donde usarían el 0-day de Chrome para infectarlos con malware.
Microsoft corrigió 36 errores de seguridad este mes, de los cuales siete fueron críticos. Esta es la actualización Patch Tuesday más pequeña de la compañía este año, y una de las más ligeras de los últimos tres años.
Otros errores importantes que fueron corregidos con esta actualización, que presentan un grave riesgo de ser utilizados en campañas de malware o ataques dirigidos, son CVE-2019-1468, que se trata de ejecución remota de código en el componente Win32k y CVE-2019-1471, un error de ejecución remota de código en el kit de herramientas de virtualización de Windows Hyper-V.
Además de Windows, otros productos que recibieron correcciones incluyen SQL Server, Visual Studio, Skype for Business, Microsoft Office y Microsoft Office Services and Web Apps.